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hacker (hak'¿5r) 


“Persona que se divierte explorando los detalles de los sistemas de programación y 


expandiendo sus capacidades, a diferencia de muchos usuarios que prefieren 
aprender solamente lo mínimo necesario.” 


mens se ha hecho tristemente famosa una cepa de vi- 
rus, con el nombre genérico de MyDoom. Aunque se trata de 
virus que se han transmitido con velocidad meteórica, el “méri- 
to” principal de estos bichos ha sido preparar y perpetrar ata- 
ques programados contra sedes de fabricantes como SCO y Mi- 
crosoft. 

El primero de los damnificados, SCO, es una empresa enzar- 
zada en polémicas sobre la patria potestad nada menos que so- 
bre Unix. Linux es uno de los principales implicados en la polé- 
mica. Podría muy bien ser que en el origen del virus se encuen- 
tre una venganza de algún linuxero disfrazado de caballero an- 
dante (y encapuchado). 

El segundo de los atacados, Microsoft, presenta un cuadro dis- 
tinto. El gigante de Redmond se ha destacado por apostar sin fi- 
suras por su propia familia de sistemas Windows, mientras los 
demás sistemas operativos se han tratado sistemáticamente co- 
mo la competencia. El problema es que su presencia masiva y, a 
menudo, sus métodos, le han proporcionado una posición de 
cuasi monopolio. No es menospreciable también la indignación 
que provoca poder apuntar con el dedo al ganador avasallador. 
Por estos motivos, probablemente, Microsoft ha sido el segundo 
objetivo del prolífico virus MyDoom. 

En ambos casos, sin embargo, existen críticas comunes. El ata- 
que, en su preparación, ha pasado por miles de ordenadores 
personales, ha transgredido su privacidad y su uso éticamente 
correcto, ha usurpado sus cuentas de correo, se ha instalado sin 
pedir permiso al usuario... Es decir, aun sin entrar en la execra- 
ble intención de resolver las cosas al estio del oeste, a tiros, My- 
Doom se ha comportado como un virus cualquiera: pisando los 
derechos de todos los usuarios a su paso. No hay nada de noble 
en este comportamiento. Una vez más, los programadores de vi- 
rus han malgastado su indudable talento en perjuicio de todos. 
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UNA REVISTA PARA TODOS 


NEWIIE MID HACKING HARD HACKING 


El mundo hacker se compone de algunas cosas simples y otras complicadas. Hay curiosos, lectores 
sin experiencia y expertos para los cuales el ordenador no tiene secretos. Cada artículo de Hacker 
Journal está marcado con una clave para cada nivel: NEWBIE (para quien comienza), MIDHACKING 
(para quien ya está dentro) y HARDHACKING (para quien no existen los secretos). 
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) China e Internet, una relación 22 - Alejando a los intrusos 
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La historia del hacker Karl Koch 28 - IRC: 

14- El cifrado de doble clave Crea y gestiona tu canal 

16 - Los puertos y servicios menos 31 - Los sospechosos habituales: 
conocidos: ¿Quién ha dejado la El caballo de Troya Subseven 


¡Bienvenidos a nuestro sitio | 
web! Hemos cambiado el drchivo Edción Yer Fsvorios Heramientes Ayuda 
aspecto general del sitio, con - En - 
un diseño más moderno y 
claro que esperamos que sea 
de vuestro agrado. Si hace 
tiempo que nos hacéis una 
visita, aprovechad ahora y 
enviadnos vuestra opinión a: 


06 Feb 2004 - 12:13 PM home | news Reviews | ForRums | SRLLeRy MEDIA | DOWNLOAD: 


¡En tu kiosco! 
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Últimas Descargas 


¡Tu opinión es importante! 


Visita nuestro sitio web: 
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Ante todo, tenemos que puntualizar a sn ria Viana “mando: 
que Palladium ha cambiado de E : e ¡conoce! 
nombre. Ahora se denomina TCG, mentad 
acrónimo de Trusted Computing ra al margen, que la iniciativa triun- mendación e: 
Group. Si queréis saber cómo pro- fara y que ello les diera el liderato los magnífico: 


gresan sus trabajos, visitad el sitio en el mundo PC.. fon publicó hace años sobre este : 
web https://www.trustedcomputing: tema operativo. En España apare 
group.org/home. cieron publicados por Anaya, pero 
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lógico pensar que si se diseña un 
sistema de cifrado para evitar 
que escape ningún componen» 
te del cerco, luego el mecanis- 
mo de protección, cifrado in- 
cluido, sea fácil de desactivar. 
La gran ventaja que tenemos 
los usuarios de a pie es que se 
trata del trabajo de un comité, 
compuesto por empresas que 
| tanto pueden cooperar como 
competir. Por ello, cabe la posi: 
bilidad de que todo quede en 
una solución aplicada sólo «a 
casos especiales, muy lejos de 
la universalidad que dicen per: 
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http://www. galeon.comfpityworld/ 


Respecto a la inmunidad de los 
Macinto: h, ahora mismo pare- 
ce asegurada, pero si Motorola 
o la propia Apple se apuntan al 
TCG, el panorama podría cam. 
biar de pronto. Sería como mí- 
nímo curioso que Apple queda: 


Tola Chelano.... como estas????? jajjaja - Microsoft Internet Ex 
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Dire J http://mundohack.webcindario.comfindex.php 


AwNdDo Hack a 


LOLA AG ARON VIENA E) 


Principal 


Verdaderamente esta Web es recontra vulnerable.. me parece mejor k 
lo hubieran parchado con el php y. 6.. Wno., como todo hacker estoy 

en ese plan de investigar bugs,. un saludo a mi pata DJK (Mi patasa) y 
Gracias LINUXIQUITOS... No me _—— 


tambien a minux (cholon) jejejej 


Hola Alan 


Home * Topics : Downloads * Your 
Account : Forums + Top 10 


Encuesta 


En este momento 
no existe contenido 
para este bloque. 


puedo olvidar de mi cumpa RÁYO..., Gracias gente ... somos peruanos, 
somos los mejores en defaced, somos HACKERS, (Stracker) 


FA E IE VAS 


¿Seríais tan amables de poner yn manval 
en vuestra web aunque sólo sea un enla- 
ce o en vuestra revista cómo se/utilizan los 
lenjuages de programacion visual basic, 
java... 


Login 
Nick 


Contraseña 


EE PUE 


Antes de nada felicitaros por esa” peaxo 
revista que os currais día a día y que ca- 
da vez tiene mas adeptos que se engan- 
chan enseguida. Leo vuestra revista desde 
el número 1, y los tengo todos los conse- 
cutivos. Me gustaría si es posible que mi 


web aparezca en la revista, es de conteni=| 


do underground-hack, que sigue día a 
día prosperando, ES 
http://mundohack.webcindarioícom 
Muchas gracias. Ya estoy esperando que 
el próximo número llegue aldkiosco. 


Nuevo virus detectado: Mydoom.A 

Tened precaución 

Síntomas: 

Abre el bloc,de notas de Windows "note- 
pad.exe" y muéstra en él un texto basura. 
Propagación: 

Mydoom.A se propaga enviándose por 
correo electrónico y copiándose en los di- 
rectorios compartidos de la herramienta 
P2P Kazaa. 

Dicho virus busca direcciones de correo e- 
lectrónico en“los ficheros del equipo que 
tengan las siguientes extensiones: .htm, 
.sht, .php, .asp,“dbx, .tbb, .adb, .pl, 
«wab, «txt 

Se envía por correo electrónico utilizando 


su propio motor SMTP (es decir, no hace 


falta que nosotros enviemos ningún co- 
rreo electrónico para propagarlo, ya se 


¡encarga el solito). 


frases que lo componen sor 
sunto (cualquiera de los siguientes): 


contenido del mensaje varía, aunque 


Mail Delivery System gs 

Mail Transaction Failed 

Server Report 

Status 

rror 

Cuerpo (cualquiera dé los siguientes): 

Mail Transaction Failed. Partial message 
is available. y 

The message cóntains Unicode charac- 
ters and has been sent as a binary attach- 


ment. 


The message cannot be represented in 


1 7-bit ASCII encoding and has been sent 
las a bina 


attachment. 

Fichero adjunto: 

nombre (cualquiera de los siguientes): 
document, readme, doc, text, file, data, 


test, message, body 
| extensión (cualquieradelasisiguientes): 


pif, scr, exej cmd, bat, zip" 
No olvidéis la importancia de no abrir fi- 


|. cheros adjuntos con las extensiones que | 
¡se indican ahí. Y en cualquier caso, no a- 
¡brir ficheros adjuntos como norma gene- 


ral (salvo total confianza). 
Suele ser una buena idea desconfiar so» | 


¡bre todo de aquellos mensajes cuyo titulo, 
texto, etc estén en inglés. 


“A Documento sin título - Microsoft Internet Explorer 
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él http: /Junww,internetsegura.net/ 


0 >. 
internet a 12 E, PTOS 


Castellano 


Catalá de ; 
(U Internet segura... junts 


Safer Interne!... 


Enalish 


Iintemet segura... 


together 


juntos 


Generalitat 
de Catalunya 


2003 Fundació Catalana per a la Recerca - Extreme Media Solutions: Ltd. 


- avís legal - aviso legal - legal notice - 


Aquest web ha estat disenyat per una ressolució de 800x 600 
Este web ha sido diseñado para una resolución de 800 x 600 
This web has been developed For 800 x 600 resolution 


2 hito: lug internetsegura,netfinforme/II estudio 15.Ddf 


n total de dieciséis países de la Unión Euro- 
Ulea celebraron el día 6 de febrero el Día In- 
ternacional para una Internet Segura, promovi- 
do por el programa Internet Segura -www.in- 
ternetsegura.net-, una iniciativa del proyecto 
europeo SafeBorders en el marco del programa 
Safer Internet de la Comisión Europea. Esta jor- 
nada se celebró en Australia, Austria, Alema- 
nía, Bélgica, Dinamarca, España, Francia, Gre- 
cia, Irlanda, Islandia, Italia, Luxemburgo, Norue- 
ga, Países Bajos, Portugal, Reino Unido y Sue- 


2 NUEVOS PENTIUMA4 DE 


sel al mercado los nuevos Pentium4 con 


tecnología de 90 nanómetros. Estos 
procesadores se encuentran entre seis nuevos 
productos ofrecidos en la línea de chips de 
escritorio de Intel, los que traen nuevas 
características y alto rendimiento a una 
extensa gama de usuarios de PC. 
La tecnología de proceso de 90 nm (un nanó- 
metro es una billonésima parte de un metro) es 
el proceso de fabricación de semiconductores 
más avanzado de la industria, construido exclu- 
sivamente en obleas de 300 mm. Este nuevo 
proceso combina mayor rendimiento, transisto- 
res de menor consumo de energía, silicio forza- 
do e interconectores de cobre de alta veloci- 
dad. Esta es la primera vez que se integran to- 


6 | www.hacker-journal.com 


MD Internet 


cia, con el objetivo de garantizar el derecho de 
los niños a disfrutar de una Red segura. 

En el sitio Internetsegura.net, un servicio gra- 
tuito, podéis informaros sobre la seguridad de 
los menores en Internet. 

Se trata de una web dirigida a familias, maes- 
tros y otras personas que trabajen con o sean 
responsables de menores, así como también a 
organizaciones que trabajan para la infancia y 
adolescencia (administraciones públicas, bi- 
bliotecas, ONG, etc.). 


90 NANÓMETROS La 


das estas tecnologías en un único proceso de 
fabricación. 

Los procesadores Intel Pentium 4 construidos 
en base al proceso de 90 nm conservan las ca- 
pacidades multi-tarea de la Tecnología Hyper- 
Threading (HT), e incluyen nuevas característi- 
cas como la microarquitectura Intel NetBurst 
mejorada, un mayor cache Nivel 2 (L2) de IMB 
y 13 nuevas instrucciones. 

Además de los cuatro procesadores bcada 
en base a la tecnología de proceso de 90 nm, 
Intel agregó una versión de 3,40 GHz del proce- 
sador Intel Pentium 4 con soporte de Tecnolo- 
gía HT basado en la tecnología de proceso de 
0,13 micrones a su familia de procesadores de 
escritorio. 


2 GOOGLE ES LA MEJOR MARCA 


O 1 


oogle, el principal proveedor de búsqueda 
Gon Internet y que planea entrar en bolsa es- 
te año, obtuvo un espaldarazo al ser considera- 
do por segunda vez consecutiva "marca del a- 
ño" por la empresa consultora Interbrand. 


2 SUN LANZA LA BETA DE JAVA 2 1.4 


su Microsystems ha lanzado la versión 
beta de la plataforma Java 2, Standard 
Edition (J2SE) 1.5, con el código en clave de 
Project Tiger. 

La versión beta de la última versión de J2SE, 
que engloba Sun Java Enterprise System, 
Java Studio Enterprise tools y Java Desktop, 
aparece con mejoras y actualizaciones en el 
lenguaje de programación Java para facilitar 
la programación a los desarrolladores. 

Las mejoras están pensadas para incrementar 
la facilidad y la seguridad de la codificación en 
este lenguaje orientado a objetos. http:/ 


ljava.sun.com/¡2ee/1.4/download-dr.html 


2 AGUJEROS DE SEGURIDAD EN REAL PLAYER 


(2) Restos 


$ alii 
> r- UNA ha 
e AE 5 
14 días de 
prueba 


ho 


patieuoss ha reconocido que tres aguje- 
ros de seguridad que afectan a distintas 
versiones de su reproductor multimedia podrí- 
uan permitir que un atacante cree archivos de 
vídeo o música corruptos de modo que, al ser 
reproducidos, le darían el control del PC de la 
víctima. 

Los fallos pueden afectar a RealOne Player, 


Por su parte, la empresa de computadoras Ap- 
ple nuevamente obtuvo el segundo lugar del 
ranking de marcas de alto impacto, mientras 
que el automóvil Mini subió desde el puesto nú- 
mero once al tres. 

Google basa su éxito en su interfaz sobria pero 
eficaz y en la casi ausencia de enlaces publici- 
tarios, lo que le ha convertido en el buscador 
preferido de los navegantes de la web. 

La empresa Interbrand, quien realizó la encues- 
ta a cerca de 4.000 usuarios de 85 países a tra- 
vés de su sitio en Internet, dijo que Google ten- 
drá que mantener su política de ofrecer una 
búsqueda "limpia, sencilla y creíble" a sus u- 
suarios, si desea cotizar en bolsa. 


El 


y EJr  Googke- 


$Sun 


= The Source for java Developers 


Downloads 
J2EE v1.4 Developer Release 


Dovenioad the Java 2 Platform, Enterprise Edition 1.4 SDK Developer Release. 
Contalns: 


Dovenioad the Java 2 Platform, Enterprise Edition 1.4 Application Server Developer Release. 
Cont 


Dovwnioad Java 2 Platform, Enterprise Edition 1.4 Samples Developer Release. 
Contains: 


0] 


RealOne Player versión 2, RealPlayer 8, Real- 
Player 10 Beta, y los productos Real0ne En- 
terprise. 

El agujero de seguridad puede utilizarse me- 
diante un archivo multimedia tratado espe- 
cialmente, de diversos tipos: RealAudio 
(RAM), RealAudio Plugin (RPM), RealPix (RP), 
RealText (RT) o synchronized multimedia inte- 
gration language (SMIL). 

Las vulnerabilidades que actúan a través de 
un archivo multimedia han sido hasta ahora 
raramente aprovechadas. En mayo pasado, 
un fallo de Microsoft Windows Media Player 
permitía manipular los "skins" del programa, y 
dio lugar a un parche por parte del fabricante. 
RealNetworks proporciona instrucciones en 
su sitio Web para quienes quieran actualizar 
su software RealPlayer: 
http://www.service.real.com/help/faq/secu- 
rity/040123_player/EN/ 
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CHINA E 


¡así 
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s la noche entre el sábado 
31 de marzo y el domingo 
primero de abril del 2001. 
Una llamada hace saltar de 
la cama al vicepresidente 
americano Dick Cheney: es el estado 
mayor de la marina. Un avión espía 
nuestro, explica el almirante 
Housbound, ha sido abatido por los chi- 
nos hace pocas horas. 

En realidad, el avión, un gran cua- 
drimotor Ep-3, 24 hombres de 
pasaje, dotados con los más avan- 
zados sistemas de vigilancia elec- 
trónica — (léase 

"espionaje") ha MIA Panel 
sido interceptado 

al sur de la isla de b fr 
de Hainan, en el ebolan 


Golfo de Tonkin [on 


(10 Km al sur según 1% 
20 


los chinos, 110 Km A 
según los america- ===" 
nos). Un  reconoci- 


miento de rutina salido 
de la base de la Air 
Force de Okinawa, 


Japón, que de improvi- a 
ae 


5 He sn a E y pe muse 4 


Bart 


L SS 


Oblado del munbo. 


INTERNET UNA RELACIÓN POTENCIALMENTE PELIGROSA 


154) Locale ERE 
20 
e 


ur 
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AAA 


los inqu ie 


dad. 


so se convierte en un drama. Dos cazas 
chinos flanquean el avión americano. el 
Ep-3 intenta una maniobra de evasiva, 
pero toca uno de los dos cazas (que cae 
y provoca la muerte de Wang Wei, el 
piloto) y -dañado- se ve obligado a ate- 
rrizar en la base militar china de Hainan. 
Bush, elegido presidente de los Estados 
Unidos, se moviliza rápidamente, pero 
China no se deja impresionar: al otro 
lado hay alguien más "duro" que el pre- 
sidente tejano. Es Jiang Zemin, conside- 
rado un "duro" incluso por los generales 
de las fuerzas armadas 
chinas. Serán 11 días 
a de tensión: por una 

parte los EE.UU. que 

Je $ : 

AE reclaman la retirada 
e Panel rimuc de sus hombres y - 


debiar GN 
sobre todo- la tecnolo- 


ETT 


ES gía almacenada en su 
Mxcih joyero volante para el 
«+ xcinz.? espionaje electrónico; 
——— por la otra China, 
que pretende justicia 
e indemnizaciones 
por la violación del 
propio espacio 


US 


Hi e o 


aéreo y por la muerte de su piloto (ade- 
más de querer curiosear entre las tecno- 
logías americanas). 

Mientras una flota de tres naves de gue- 
rra americanas se acerca al Mar de 
China meridional, sobre la mesa diplo- 
mática los chinos echan cuentas: para 
recuperar el avión los EE.UU. deben 
comprometerse a no vender a Taiwan 
(la China nacionalista, en lucha contra 
la China continental comunista del fin 
de la Segunda Guerra Mundial) las nue- 
vas tecnologías antimisiles, que limitarí- 
an la capacidad ofensiva china en caso 
de conflicto con este país. Al final, un 
compromiso diplomático desbloqueará 
la situación. 


Aun así, en los mismos días está 
teniendo lugar una guerra silenciosa 
que pocos han documentado. Entre el 
2 de abril y el 9 del mismo mes, según 
un comunicado reservado de la sección 
de seguridad informática del Depar- 
tamento de Estado americano, se dan 
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¡China en cifras 


11300 millones de dsc 
| 960 kilómetros cua 
| Milanes de usuarios de Internet 
| 12 millones de ordenadores ven sa 
90 millones de teléfonos móv a 
200 millones de líneas telefónica 
as habladas: € : 
blo el chino estándar O sa 
derivado de UN dialecto de Pequ A 
tonés (Yue), el dialecto de Shang 


Minbei (Fuzhou), 
Gan, varios diale 


minorías étnicas 
hablan los dialectos Zhuang; 


Tibetano, Miao, Ma 
Coreano: 


ctos Ha 


cerca de 412 ataques infor- 
máticos "particulares". Por un lado, 
desconocidos y hábiles informáti- 
cos americanos realizan cerca de 
387 intrusiones de "elevado nivel 
y capacidad tecnológica" en el 
interior de sitios chinos, para pro- 
clamar su patriotismo. Por el otro, 
"piratas chinos han realizado al 
menos 25 violaciones informáti- 
cas" de sistemas estadouniden- 
ses, entre los que se encuentran 
el Departamento de Trabajo y el 
de Sanidad. 
No es la primera vez que China se con- 
vierte en protagonista de lo que se defi- 
ne como CyberWarfare, la Guerra 
Electrónica. Es la temida amenaza de la 
"Pearl Harbour digital", analizada en los 
Estados Unidos por los expertos militares 
de seguridad, y convertida pronto en la 
excusa oficial para la caza de hackers 
(sobre todo americanos y europeos) en 
curso del fin de los ochenta. 
¿Pero China y los otros países el Extre- 
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¿Como decís "spam" en Pequín? 


Una enorme cantidad de mensajes publicitarios no deseados (spam) en cir- 
culación cada día llega de una forma u otra desde China, En parte se trata 
de mensajes mandados por las nacientes empresas privadas chinas, a la 
caza de relaciones comerciales con empresas extranjeras (mayormente ame- 
ricanas); estos mensajes a menudo están escritos en un inglés muy descar- 


nado, o incluso en una de las lenguas chinas. No acostumbrados al uso de 
la red y desconocedores de la netiqueta, hordas de empresarios están acri- 


billando a los occidentales con mensajes que, en el mejor de los casos, 
harán irritar a los potenciales clientes en lugar de alentarlos. 


Más parecido.a lo que conocemos habitualmente es el spam que, aunque 
originado en sitios y empresas occidentales, viene en realidad mandado 


apoyándose en servidores de correo chinos.'En este caso suele ser difícil 


para el usuario corriente llegar al servidor de origen analizando la cabe- 


cera del mensaje, e incluso los mismos proveedores tienen problemas para 
gestionar la enorme mole de mensajes que llegan de la Gran Muralla. 


mo Oriente representaban 
realmente solamente un 
peligroso enemigo? A juz- 
gar por los intereses económicos que 
sobre todo los Estados Unidos tienen en 
aquella área, se diría que no. Al fin del 
2001 China ha entrado en la 
Organización Mundial del Comercio, y 
es considerada el mercado destinado a 
la mayor expansión, sobre todo en el 
campo electrónico. Es un continente 
entero, poblado por una quinta 
parte de la población mundial 
(1300 millones de personas), con 12 
millones de ordenadores vendidos en el 
2001, y 33,7 millones de usuarios de 
Internet que del 50% al año. Una 
auténtica bendición, con respecto a los 
agonizantes mercados tecnológicos 
occidentales. 

En resumen, considerando el asunto 
desde el punto de vista industrial de las 
grandes empresas productoras de tec- 
nología, China vive una situación Única: 
coexisten viejas y nuevas tecnologías, se 
cruzan satélites, Internet, telefonía móvil, 
fibras ópticas e infraestructuras militares. 
Pero los usuarios son aún poquísimos y 
el coste del trabajo es extremadamente 


ES 


Algunos observadores sostienen que los servidores smtp chinos estarían 
muy poco protegidos, por lo que serían explotados ilegalmente por los 
auténticos "enviadotes" de spam... Pero lo que esta teoría no explica es 
cómo, en un sistema tan reglamentado y controlado, nadie se ha preo- 
cupado de identificar y retomar los administradores de los servidores que 
envían tantos mensajes. ¿Podemos preguntar qué pasaría si el objeto del 
spam fuese un sitio fuertemente crítico hacia el gobierno chino? 


bajo. Quien gane el desafío del merca- 
do chino, ganará todo el mundo. Quien 
pierda, perderá todo el mundo. 

Pero China no se ha abierto a las 
tecnologías occidentales y a la 
llegada de las grandes multina- 
cionales sin organizarse para 
defender su régimen interno. 


La legislación prevé límites de varios 
tipos referentes a la apertura de nuevas 
fábricas con capital occidental, que 
deben obtener el nihil obstat del go- 
bierno de Pequín, y el acceso a Internet 
por parte de la población está subyu- 
gado a una serie de reglamentos que 
en Europa ni siquiera son imaginables. 
Desde hace dos años, se establece la 
pena de muerte a quien sea reco- 
nocido culpable de haberse apro- 
piado o de haber divulgado 
documentos de Estado -por tanto 
cubiertos por el secreto- en Internet. 

Es inútil decir que el concepto de "docu- 
mento de Estado", aunque cubierto por el 
secreto, es interpretado en un modo bas- 
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CHINA E INTERNET, UNA RELACIÓN POTENCIALMENTE PELIGROSA 


Six/Four: comunicación anónima y segura 


Fidonet y FredNet, aunque también las redes de base. La filosofía referente a las 
grassroots no es nueva, pero se desarrolla después del 4 de julio de 1989, el día 
de las masacres de la plaza Tiananmen, una de las páginas más negras de la his- 
toria reciente de China. El grupo de hatkers 
pares Activismo, spin-off del colectivo Cult of the 
595 ón Dead Cow, decide realizar un protocolo que 
- permita navegar, chatear e intercambiar archi- 
vos y emails sin dejar rastro. Una fuerte ame- 
naza para la seguridad, se diría hoy, en reali- 
dad la única forma de seguridad posible para 
quien viva en un país donde el régimen trata 
de interceptar y censurar todas las formas de 
comunicación, incluso las electrónicas. En la 
base tecnológica del protocolo, Six/Four, hay 
un mix de VPN, tunneling, aproximación 
peer-to-peer y openproxy. Pronto se darán 
más detalles en el sitio hacktivismo.com, 
donde ya se puede encontrar una versión fun- 
cional de Camera/Shy, software de estenografía que permite esconder mensa- 
jes cifrados dentro de imágenes normales. 
El principal autor del protocolo es The Mixter, un hacker alemán localizable en la 
dirección mister.void.ru. Mister, que es un personaje conocido en el ambiente 
hacker, también es autor de Tribe FloodNet, un programa usado a menudo para 
efectuar ataques dDoS. 
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tante amplio, y cualquier ciudadano 
chino que mande un email al extranjero 
con información considerada "secreta" 
(o "política" y "democrática") se arriesga 
efectivamente a la pena capital. Además 
en China, según Amnistía Internacional, 
las ejecuciones no son en absoluto un 
fenómeno raro. 


Desde el 1 de agosto de 
este año, además, en 
China está en vigor 
una legislación que 
limita fuertemente el 
número y la estruc- 
tura de los gestores 
de sitios, y los man- 
tiene directamente 
bajo control guber- 
namental. . 
Por si fuera poco, en los $ 
dos últimos años han 
sucedido los episodios de censura por 
parte del gobierno chino con respecto a 
Internet: los proveedores locales han sido 
obligados a impedir el acceso a series ente- 


ras de lp, en 2001 se ha impedido el 
acceso a Freenet (servicio Fip de inter- 
cambio de información sin censura) y al 
los principales motores de búsqueda 
(Google, Altavista, Yahoo, etc.). Aún más, 
en tres diferentes etapas el gobierno ha 
cerrado los Internet Cafés de la capital, 
punto de acceso para las grandes masas 
de estudiantes que frecuentan Pequín y que 
no pueden permitirse un ordenador y una 
conexión a Internet. En otras zonas, para 
acceder a los Internet Cafés hay que regis- 
trarse en la policía y obtener una tar- 
jeta de reco- 
nocimiento, 
que permite 
rastrear y 
registrar 
cada activi- 
dad realiza- 
da online 
por los ciu- 
dadanos. 
Sin contar la 
instalación de 
sistemas 
americano 


análogos al 
Carnivore: box dedicados al fil- 
traje de los paquetes Tcp/lp ins- 
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talados por ley en los servidores 
de suministradores de acceso. En 
los EE.UU., a pesar del 11 de sep- 
tiembre, la cuestión aún se discute; en 
China es una certeza matemática. 

En resumen, si en el pasado China se 
defendió de los mongoles con la 
Gran Muralla, ahora el gobierno 
querría que el país se transtormara 
en una enorme Intranet cerrada 
por un cortafuegos, con conteni- 
dos altamente controlados. Para esto, 
lucha incluso contra las principales 
empresas productoras de software: 
desde hace casi año y medio están en 
curso las experimentaciones para 
basar las infraestructuras chinas 
en servidores y escritorios de 
entorno Linux. La idea es que de 
esta forma es posible hacerse autó- 
nomos de Microsoft, y de las políticas 
de "seguridad" que el sistema operati- 
vo de Microsoft está realizando bajo 
el empujón del gobierno estadouni- 
dense. Tener una infraestructura no 
basada en Windows significa no estar 
expuestos, en caso de guerra comer- 
cial o electrónica, al riesgo de que el 
potencial enemigo, los EE.UU., tam- 
bién sea el posesor de uno de los 
recursos fundamentales: el sistema 
operativo de los ordenadores. 


Pero el escenario hacker del Extremo 
Oriente no es menos vital que los occi- 
dentales, aunque esté fuertemente con- 
taminado por el omnipresente go- 
bierno, que trata incluso de 
enrolar a los mejores talentos. 
Difíciles de individualizar, a menudo 
parte de los movimientos antagonis- 
tas del régimen de Pequín, los hac- 
kers chinos nacen sobre todo cerca 
de los grandes centros universitarios 
del país, como Hebei, Yenching, 
Tsinghua, Chaoyang, Soochow, 
Xiamen, Wuhan, Hunan, pero tam- 
bién en las áreas de mayor industria- 
lización tecnológica, como Shangai y 
Hong Kong. 

Su presencia se advierte como una ame- 
naza nacional, y hemos visto que en 
algunos casos esto se puede traducir 


en condenas durísimas, incluso en 
la pena capital. Durante los últimos 
meses han sido arrestados al menos 15 
"presuntos hackers", a partir del arresto, 
en el distrito de Haidian (Pequín) en mayo 
del año pasado, de Lu Chun, un mucha- 
cho de veintiún años culpable de 
haber robado un par de cuentas de 
una empresa y haberlos usado para 
navegar por Internet (y dejar navegar 
a algunos de sus amigos) hasta el arresto 
del muchacho de diecisiete años Chi 
Yongshu, estudiante de secundaria en la 
provincia Heilongjiang (al noreste del 
país), culpable esta vez de actos más 
complejos: difusión de virus, hurto 
de datos y tráfico ilícito online. Por 
último, un hombre de 36 años empleado 
de una institución de crédito (Banca de 
comunicaciones de China), acusado de 
haber robado de las cuentas 
corrientes de los clientes casi dos 
millones de yuans (200.000 dólares) a 
partir de agosto de 1990, después de huir 
a Canadá y ser expulsado por las autori- 
dades de este país, fue condenado a 
muerte y ajusticiado. 
Los hackers, 


"heike", como se traduce fonéticamente la 
expresión inglesa al chino, aún así están 
allí. Y no son ladronzuelos, jovencitos que 
juegan con los passwords o soldados de 
la ciberarmada de Pequín. Varios grupos 
de hackers europeos y estadounidenses, 
que últimamente han confirmado que no 
están involucrados con los ataques que se 
han desencadenado desde Occidente 
contra los enemigos de los Estados Unidos 
como China, Corea del Norte e Irak (la 


Pequín contra la Red del Dalai Lama 


"We are definitely under attack. This is not paranoia. 

Something very weird is going on, BEWARE", así iniciaba, el 

sábado 20 de abril de 2002, el preocupadísimo email de 

Anthony O'Brien, uno de los más asiduos frecuentadores de 

Tibet Support Groups-List (TSG-L), la principal red internacio- 

nal de tibetanos y sostenedores de la lucha del pueblo tibeta- 

no contra la ocupación china del País de las Nieves. Qué cosa 

tan grave estaba sucediendo? Como se aclaró en el decurso 

de pocas horas, algunos hackers chinos habían conseguido, 

gracias a una abanicada de virus Trojan, apoderarse de los 

ordenadores de algunos de los más conocidos animadores de 

la lista y, a través de emails enviados a su nombre, entrar en 

docenas de otros ordenadores de inscritos a la TGS-L. Una vez 

fueron examinados por expertos de Symantec y Mcafee, estos virus resultaron ser extre- 
mamente sofisticados y enviados desde Pequín y de otras ciudades de la China Popular. 
Aunque el gobierno chino ha negado oficialmente tener nada que ver con este ataque 
masivo y coordinado, los tibetanos y sus amigos están absolutamente convencidos de 
que es imposible en un país como China, donde rige el más total control gubernamen- 
tal sobre todos los aspectos de la comunicación, parta la comunidad de los hackers (que 
por otra parte es en general cualquier otra cosa que favorable al régimen) realizar una 
operación tan bien articulada y prolongada en el tiempo. Además todas la redes conec- 
tadas a los distintos aspectos de la disensión china (sindicalista clandestinos, intelectua- 
les, adeptos a la Falun Gong, etc.) han comunicado a la TSG-L que han sido también 
sometidas a análogos ataques. Ahora la TSG-L está intentando equiparse para respon- 
der a la emergencia porque está claro que incluso en el Techo del Mundo y en el remo- 


to Oriente los verdaderos juegos se dan en la red. 


última en declarar su extrañeza ha sido 
Legion of Underground) con el tiempo 
incluso han establecido contactos fuertes 
con sus colegas chinos. A su vez, el con- 
tacto ha significado una ayuda sustancial. 
La comunidad hacker internacio- 
nal, sensible -como es obvio- al 
tema de poder garantizar la propia 
privacidad delante de regímenes 
opresivos, ha ofrecido soluciones 
para quien vive en países como 
China: software como Camera/Shy de 
Activismo y Six/Four para la creación de 
redes grassroot absolutamente anóni- 
mas, son regalos pensados no para pro- 
porcionar nuevas armas a los hackers 
"cautivos" y terroristas extranjeros, sino 
para permitir el ejercicio de los más 
elementales derechos democráticos 
también a quien vive en países en 
los que esto no está permitido. 

Desde China, aparte de hackers éticos y 
combatientes para la democracia, llega 
mucho más que el virus de la gripe oto- 


ñal. Cada año se cuentan al menos 
una decena de "cepas" virales infor- 
máticas procedentes (o así lo pare- 
ce) del Extremo Oriente. Por ejemplo, 
el Word 1i0On. Los mass-media, acostum- 
brados a hacer de cada hierba un fajo 
con el termino hacker, con el "peligro 
amarillo" se quedan literalmente a gusto. 
Aun así, la guerra subterránea entre pre- 
suntos hackers occidentales (sobre todo 
americanos) y chinos continúa. De di- 
mensiones muy reducidas con respecto al 
conflicto entre "piratas" filopalestinos, el 
bombardeo a golpe de defeacement está 
en curso. Quizá en China también con la 
aprobación gubernamental, si no con su 
propia intención. Grupos como The 
Honker Union of China (Honker es una 
de las expresiones slang chinas para hac- 
ker) han declarado que quieren combatir 
"la arrogancia antichina" con todos los 
medios. Incluso con 80 defeacements 
consecutivos y el compromiso de otros 


400 servidores. 
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numero misterioso, anar- 
s::s:2 el 23. KARIIROcHi Todos los elementos de la novela policiaca se 
rasa los: guendas anar encuentran en la historia de Karl Koch, el hacker 
quistas han muerto en un día 23, alemán muerto en circunstancias misteriosas... 


como escribió "Der Spiegel". Este ¿ 
número atrajo mucho a Karl en su 
estudio sobre las conspiraciones. 
Pensó, por ejemplo, en 


Hans-Christian Schmid 
Michael Gutmann 


MA - 


tenía Karl era que todos, sin LA STORIA DELLUHACHER KARL KOCH 
saberlo, servimos a los objetivos 


de los Iluminados. El número 23 

proviene de la novela de Robert 

Anton Wilson convertido en culto 

para el hacker alemán, que reen- 

contró el 23 en la historia (123 

Skidoo!) del escritor Burroughs, 

amigo de Wilson. Burroughs, una 

vez, contó que había conocido a >> Juegos peligrosos 
un marinero que navegaba desde 
hacía 23 años y que presumía de 
no haber tenido nunca un acciden- 
te: aquel mismo día el trasborda- 
dor en el que viajaba este marino 
se hundió. Por la noche 
Burroughs encendió 
la radio para ca Sn 
escuchar todas cine Gutman 
las noticias ' 
relacionadas con 
el suceso y oyó 
otra noticia: un 
avión se había 
precipitado sobre 
la ruta Nueva York- 
Miami: ¡el vuelo 
estaba registrado 
con el número 23! 
Aún más: el 23-5-1949 
entró en vigor la 
constitución de la República 
Federal de Alemania, hasta el 23- 
5-1999. ¿Sabías que el 23-5 
resultaron muertos Bonnie á Clyde 
y el magistrado Giovanni Falcone? 
Finalmente, el día del inicio de 
la retoma del 23 murió Burroughs. 
Un número, un destino. 


acaecido una noche a 
las 23 y 23. La idea última que 
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'¡ K23, la historia del hacker Karl 

¡ Koch, es el libro de Hans-Christian 
Schmidt y Michael Gutmann escri- | 
to sobre el caso del joven hacker 

¡ muerto el 23 de mayo de 1989. De | 

| estas páginas se ha sacado tam- 
bién la película "23", enteramente 

| dedicada al mundo hacker. 
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Inett und geben Sie unen Ihren 3 
A Mitte 1997 erreichte mich die Information, daf ein S a a ¡ 
A 1 Spielfilm Uber den sogenannten KGB-Hack, der 1989 fur htt /AWWw.mtt á webconce t.de/D/ Mn pp 
MS viel Wirbel in der Presse sorgte, gedreht wird. Speziell 0l 
MSIE sollte es in dem Film um die Geschichte von Karl Koch, a sion 
9 UN einem der beteiligten Hacker, gehen. K: ]K h Í j l 
MIOS Da ich Karl bis zu seinem Tod kannte, lieB diese Karnsoch. htm a 
IS Information viele Situationen aus der Zelt von 1985 bis — ol 
1989 wieder in mir wach werden. == | 1 ye oca d - / 1 
Karl starb viel zu frih am 23,05,1989 mit nur 23 Jahren 1 : W W W. CCC. Y nadaa 
durch elne vermutliche Selbstverbrennung. Seln Kórper 
wurde erst elnige Tage spáter gefunden, Ich erfuhr von 
seinem Tod erst am Sonnabend, den 03.06.1989, durch ada 
NA die Tageszeitung. Fúr den Freltag, den 26., waren wir 
IR noch bel mir verabredet gewesen. Sein plótzlicher Tod 'hemen | antworten | Impre: ache/llanguage | | 
: GN hat mich und viele andere aus selnem Bekanntenkrels [Tí en| 1! ssum | Sen el 10 00A8 
MS schockiert und ratlos gemacht. | 
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No, no nos estamos refiriendo a la "doble vuelta de llave" 
con que se cierra la puerta de casa para estar seguros, 
sino al algoritmo matemático que en los años setenta 
revolucionó la ciencia del cifrado de mensajes. 


n un número pasado ha- 
blamos sobre los albores 
de la criptografía y de 

los métodos que se. han impuesto 
hasta los primeros decenios después 
de la Segunda Guerra Mundial. En 
1976 se publicó un estudio titulado 
"New Directions in Cryptography”. 


Los autores eran Whitfield Dif- 
fide y Martin Hellman, e hipote- 
tizaban un sistema que per- 


una pública para cifrar los 
mensajes y una privada pa- 
ra descifrarlos. Estas dos cla- 
ves tenían que estar hechas para 
poder impedir reconstruir una 
conociendo la otra. Al año si- 
guiente tres investigadores del 
MIT consiguieron identificar un 
algoritmo aplicable a esta teoría. 
Se llamaban Ronald Rivest, Adi 
Shamir y Len Adleman y bautiza- 
ron el algoritmo RSA, aun hoy usa- 
do en distintas variantes con un 
grado de seguridad prácticamente 
absoluto. 

Todo se basa en algunos conceptos 
matemáticos, a decir verdad muy 
simples. Con dos números primos, 
es una operación banal establecer 
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su producto, pero una vez dado el 
producto es casi imposible volver a 
subir a los múmeros primos origina- 
rios, especialmente si los números 
primos son muy altos. Esto pasa 
porque no existe ninguna regla 
para descomponer en factores 
un número dado, y hace falta 
proceder por imaginación e in- 
tentos. Antes de que al- 
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guien se ponga manos a la obra, 
hace falta considerar que en los 
años 90, para descodificar sin la 
clave un mensaje con clave de 128 
bits, habría que usar más de 


1600 ordenadores durante un 


tiempo de 8 meses. 


Actualmente los programas para el 
cifrado asimétrico usan claves 
que superan los 2048 bits. En 
este contexto la clave privada 
de un sistema asimétrico contie- 
ne los números ya descompues- 
tos mientras que la pública 


e contiene su producto. Por esto 


es imposible volver a una clave 
privada partiendo de la públi- 
ca. 
El problema real de este tipo 
de cifrado es sobretodo que, 
incluso con la clave, la opera- 
ción de codificado y descodi- 
ficado es extremamente len- 
ta: hasta 1000 veces más 
lenta que un sistema tradi- 
cional. Para resolver el 
problema han nacido los 
sistemas mixtos que 
mezclan las ventajas de 
los métodos tradiciona- 
les con los del sistema 
de clave asimétrica. 
Cogemos por ejemplo un 


El algoritmo RSA 


re más tiempo. 
RAR Pasuord Recover) La solución ha sido 
2 El a mezclar los dos méto- 
Esci dos. A codifica el 
mensaje usando un 
sistema tradicional 
como IDEA y con una 
clave completamente 
casual, generada au- 
intewallo | dE | tomáticamente. Lue- 
Opziori po] go la claye se codifi- 
Alta Aggiomamento AAN co con la clave pú- 
al blica de B, para ha- 
cerlo ilegible. Todo 
esto se envía a B 
que, para leer el 
mensaje, deberá 
descodificar la cla- 
ve temporal me- 
diante-su clave pri- 
vada y luego po- 
drá descodificar el 
mensaje propia- 
OS Ea a mente usando la 
ci clave que ha re- 
construido. 
Hoy el progra- 
ma de cripto- 
grafía más 
usado en el 
mundo es 
PGP, creado 
por el americano Phil Zimmer- 
mann, que usa el sistema mixto 
para la codificación de mensa- 
jes. Este sistema es tan seguro que 
Zimmermann ha sido acusado en 
los EE.UU. de haber violado la segu- 
ridad nacional, difundiendo. un sis- 
tema de cifrado que no puede ser 
controlado por el gobierno de los 
EE.UU. Fue exculpado después de 
dos años y medio de dura batalla y 
actualmente no se sabe de nadie 
que haya conseguido descodificar 
los mensajes criptografiados usando 
PGP. La pregunta que inquieta a 
tantos paladines de la privacidad 
es: "¿no se sabe de nadie porque 
nadie la .ha descifrado, o porque 
quien la ha descifrado no tiene nin- 
gún interés en decirlo?" 


Se trata de una función particular, llamada "no 
reversible", porque de su resultado no es posi- 
ble volver a los valores de entrada. Un poco 
como si mezcláramos los ingredientes de un 
pastel. Sería un poco difícil, partiendo del pas- 
tel, dividir los ingredientes originales entre 
ellos. 
En la práctica se escogen dos números con al- 
gunos centenares de cifras decimales (escogi- 
das por casualidad) que sean números pri- 
mos. Para hacerlo se usa el test de Fermat. 
Luego se determina el producto de los dos nú- 
meros pares inmediatamente inferiores. Si A y 
B son los dos números se tendrá fl =A*B y 
f2=(A-1)*(B-1). Luego hay que escoger un va- 
lor C que sea primo con respecto al resultado 
de f2. O sea, C no debe tener factores primos 
n relación con f2. Para terminar, se encuentra 
un número, llamémosle D, que multiplicado 
por C y dividido por el resultado de f2, dé co- 
mo residuo de la división 1. Haciendo un 
ejemplo con números pequeños tendremos: 
A=7 y B=5 
fl=35 y f2=24 
24 puede ser descompuesto como 3*2*2*2, 
por lo que hay que encontrar un número que 
no tenga estos divisores. Pongamos C=7. 
Por esto el resto de la operación D*7/24 debe 
ser igual a 1. Podemos poner D=7 
(7*7/24=2, con resto 1). 
El cifrado se hace dividiendo el texto en blo- 
ques con una longitud no estándar porque la 
longitud de los bloques corresponde al más 
grande entero X que satisface la ecuación 
2 X<f1. En nuestro ejemplo, 27 5=32, por 
tanto el texto se dividirá en bloques de 5 bits. 
Cada bloque Z se cifra calculando el resto de 
la división Z” D/f1. El descifrado de un blo- 
que, Zc, se obtiene calculando el resto de la di- 
visión Zc? C/fl. 
Está claro que en la clave pública está inserta- 
do tanto el valor de D como el def], pero tam- 
bién está claro que para volver al valor de C, 
indispensable para descodificar, hace falta 
mucho trabajo. De manera específica, el tra- 
bajo es el de encontrar los números A y B co- 
nociendo sólo el producto. El nombre del pro- 
blema es "factorización de los números pri- 
mos" y no existe actualmente ningún instru- 
mento matemático directo para resolverlo con 
números de una cierta magnitud. 
Con las claves actualmente usadas, a 2048 
bits, el tiempo necesario para reventar este sis- 
tema de protección puede llegar a algunos 
cientos de años. 
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mensaje que hay 
que transferir de A a B. con un siste- 
ma tradicional se codifica con cierta 
clave y se transfiere de A a B pero la 
clave debe estar ya en posesión de B 
o hay que comunicársela usando un 
canal distinto del que se use para 
enviar el mensaje (y aquí está el pri- 
mer gran riesgo: si la clave es inter- 
ceptada todo el sistema de cripto- 
grafía se hunde miserablemente). 
Con una codificación de clave asi- 
métrica, en cambio, Á puede codifi- 
car el mensaje usando la clave pú- 
blica de B y B lo descodificará con 
su clave privada. El problema es 
que B empleará mucho tiempo para 
reconstruir todo el mensaje porque 
el uso del sistema asimétrico requie- 
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SEGURIDAD 


LOS PUERTOS Y SERVICIOS MENOS CONOCIDOS 


¿Crees que estás seguro porque no tienes un 
servidor Web, Ftp o Telnet en ejecución? ¿Estás 
seguro de que no hay ningún otro puerto abierto? 


os puertos del sistema son 
canales a través de los cua- 
les se da el intercambio de 
datos del host local hacia 
un procesador y hacia un 
dispositivo de red cualquiera. Su número 
es muy grande (65546) y de base se han 
dividido en dos categorías principales: 
los puertos conocidos y los desconoci- 
dos. 
Los puertos conocidos son los pri- 
meros 1024 y se asocian a los ser- 
vicios del sistema; los puertos desco- 
nocidos son todos los que siguen, del 
1025 en adelante y que son nor- 
malmente asociados a servicios 
no identificados, o que no forman 
parte del sistema en sí. Por desgracia, 
aparte de algunos usos más que legíti- 
mos, estos "servicios" a menudo se rea- 
grupan en tres categorías: virus, gusa- 
nos y caballos de Troya. 
Los virus son programas que se autorre- 
producen y se difunden usando otras 
aplicaciones en el interior del ordenador 
que lo hospeda. Los gusanos funcionan 
como los virus con la diferencia de que 


(puertos conocidos) 
usados en modo fra 
gramas distintos 
que han sido pen 


Puerto 21, 5400 5 
Programas como Blade Runner, 
trojan, Invisible FTP o WinCrash usan el 
puerto 21 para crear variantes peligro- 
sas del servicio FTP; estas variantes 
pueden ser controladas remotamente y 
permiten la carga y descarga de archi- 
vos y programas. 
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Puerto 23 

A veces es explotado por el servici 
TTS, que funciona como un program 
de emulación de terminal que opera de 
manera invisible (un servidor telnet 
oculto). Una vez conectados en moda- 


lidad telnet clásica se pueden impartir 
comandos para ejecutar en el sistema 


atacado. 


Puerto 25, 110 

Muchas aplicaciones a primera vista 
inocuas que simulan fuegos artificiales 
o la explosión de un tapón de cham- 
pán esconden demonios que pueden 
robar passwords de sistemas y enviar- 
los vía email. Si no estás usando pro- 
gramas de correo pero ves abiertos es- 
tos puertos, hay algo que no cuadra. 


Puerto 31, 456, 3129, 40421 
Servicios como Hackers Paradise usan 
sobre todo el puerto 31 para adquirir el 
control del sistema y para modificar el 
registro de configuración. 


Puerto 41, 2140, 3150, 60000 
Un daemon conocido. como Deep 


Throat ofrece enormes. posibilidades de | 
gestión POMO del ordenador, entre las 
: Ame: ci Lia 


de fuegos de artificio, pero en realidad 

esconde un peligrosísimo programa de 

stracción de password, mail spam- 
ming y ataques DoS. 


Puerto 555, 9989 : 
Programas como NeTAdmin y Stealth 
Spy tienen como objetivo destruir el sis- 
tema infectado después de reproducir- 
se y autodestruirse. 


Puerto 1010, 1015 


a 


icio conocido como Doly Trojan 
e Troya capaz de adqui- 


| ordenador infectado. 


| Puerto 1024, 31338 
| El servicio NetSpy es uno de los más co- 


| interior de un PC y gestionarla remota- 
mente. Incluso puede bloquear el botón 
Inicio y esconder la barra de aplicacio- 
| nes. 


| Puerto 1234 

El daemon Ultors es otro troyano que 
ermite tomar el control remoto del or- 
¡ador infectado. 


lo a un troyano de diseño muy 


le transferir archivos. 


ballos de Troya con un back- 
helo: Ofrece varias posibili- 
trol remoto del PC, como 


Troya conocido con el 
Crash, saca partido a 
ra introducirse y cumplir 


mo el flooding, es considera- 
nstrumento potente y peligroso. 


letamente el control remoto del | 


| nocidos, puede espiar la actividad en el | 


o: Burka, que sólo tiene | 


omo está dotado de instru- | 


| siguientes características: mensajería, 
| control de ventanas, control del moni- 


1] 


.| tor, control de audio, control del mó- 
| dem, congelación del sistema. 
e de 
Puerto 2989 


| con backdoor f 


| tema. We 


| y, después de instalarse en el SS | 
del registro de configuración. | 
Ps] sl 


| Puerto 6400 E 


| Puerto 2600 


| ción y modificación... 


| Puerto 12223 


| KeyLogger que tiene la posibilidad de | 


El daemon RootBeer es un caballo de 
Troya dotado de acceso remoto con las 


CESTA es un caballo de Troya | 
proyectado para destruir 


el contenido de 7 fliscos duros del sis- | 


gi 
ll 


Puerto 3459, : 
El daemon Eclips 
visible que da acce 
de archivos y asu 


n servicio FTP in- | 
a transferencia | 


9 
3 
D_ 
2 
=] 
e] 
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Puerto 4567 
El servicio File Nail es un | 
moto asociado al ICQ, 


Puerto 5001, 30303,.5 
El virus Sockets de Troie es 
que se difunde como back 
ministración remota. Su in: 
coincide con un error de instal 


XwindowsAsystem, m 


El daemon tHing dd su peli 
no tanto en su actividad ¡ 
porque es explotado po 


Puerto 7000 | 
El daemon Remoie Gral ) 


clásicas de es- 
tos programas, además de un servicio 
gracias al que consigue eliminar los ar- 
chivos de escaneo de los antivirus insta- | 
lados. 


El servicio que utiliza este puerto es un | 


actividad desarrollada en el teclado del 


| ordenador remoto. 


| Puerto 12345 


| Quizá el más conocido de los puertos | 
| desconocidos: es el puerto al que res- 


ponde el servidor del backdoor NetBus, 
ya viejo pero aún capaz de hacer daño. 


Puerto 20000 

El troyano Millenium es un programa 
escrito en VB que ofrece como caracte- 
rísticas: control de archivos, control de 


CD-ROM, control de la barra de aplica- | 


ciones, control de audio, sustracción de 
password, control de browser, reinicio 


| del sistema. 


| Puerto 22222, 33333 


El caballo de Troya Prosiak es el enési- | 
mo daemon de control remoto que | 
ofrece el clásico arsenal de funciones tí- | 


picas de esta categoría de programas. 


Puerto 31337, 54320 


El daemon Back Orifice es un programa | 


altamente peligroso que está en la base 


de la concepción de desarrollo de otros | 
| troyanos para Windows. 


Pr TEMA ante todo 


| Como es fácil imaginar, la posibilidad 
| por parte de un cracker de tener libre 
| acceso a los puertos es de vital impor- | 
| tancia para cumplir su obra destructiva. 


Esta larguísima lista de puertos y servi- 


cios asociados debe servir como estimu-' 
| lo para la autoprotección. Un buen cor- 
| tafuegos, aunque no sea la solución a 
| todos los males configurado en los limi- 


tes de lo posible con reglas bastante fé- 


rreas sobre la posibilidad de usar deter- | 


minados puertos, puede ciertamente li- 
mitar los puertos de entrada al PC por 
parte de extraños. Si a esto asociamos 


| también un escaneo periódico con anti- | 


virus y un escaneo del propio sistema a 


la caza de "puertos abiertos" probable- | 
mente conseguiremos tener una foto- | 


grafía suficientemente exhaustiva de 


nuestra seguridad, entrando así en la | 
posibilidad de correr a reparar cerran- | 
| do los distintos fallos de nuestro PC. a | 


enviar en tiempo real al cracker toda la | 


| 


CÓMO BORRAR (DE VERDAD) ARCHIVOS RESERVADOS O "COMPROMETEDORES" 


Incluso si has borrado 


un documento y 
vaciado la papelera de 
reciclaje, el contenido 
puede ser fácilmente | €. 
ecuperable con poco eSfUBrZO. — - e 


Pa Pl Ú s Ls 
¿Estás seguro de haber realmente borrado los datos del disco, o sólo los has "escondido bajo la alfombra?" 
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posible recuperar los datos escritos pre- 
cedentemente, pero en este punto llega- 
mos a soluciones de fantaciencia, que 
requieren mucho tiempo y aparatos es- 
peciales). En resumen, si no se "adjuntan 
otros libros", bastaría con pasar revista 
de las estanterías para encontrar (ly le- 
er!) todos los discos erróneamente con- 
siderados eliminados. Y esto es más o 
menos lo que hacen los programas co- 
mo Norton UnErase o R-Undelete de R- 
Tools Technology. 

Si crees que puedes estar tranquilo, por- 
que has formateado el disco, haremos 
que te preocupes rápidamente: cuando 
se formatea el disco con las varias 'mo- 
dalidades rápidas", no se hace otra cosa 
que tirar el "registro" de archivos (la File 
Allocation Table); una vez más, los ar- 
chivos se quedan donde siempre han 
estado: en el disco. 


» Situaciones de pánico 


Alguien estará ya temblando pensando 
en el hecho de que todas las imágenes 
de las señoritas simpáticas y desinhibi- 
das que ha borrado de su ordenador 
pueden ser fácilmente recuperadas por 
una madre o una novia un poco mani- 
tas. Pero esta es una de las situaciones 
menos graves. Intenta pensar qué 
puede pasar después de vender el 
ordenador a un desconocido o, (como 


NSA National Security 
Agency. l'agenzia per la si- 
curezza nazionale americana. || 


gere informazioni vitali attra- 
verso la crittologia”. 


pasa a menudo) cuando el viejo orde- 
nador de un dirigente de una empresa 
es pasado a un asistente (quizá frustra- 
do por el hecho de que el jefe tiene or- 
denador nuevo y, como de costumbre, a 
él le tocan las sobras. ..). Información y 
comunicaciones reservadas, códigos 
de acceso a bancos de datos o cuen- 
tas corrientes, acuerdos estratégi- 
cos... todo en las manos del primero 
que pasa. 
Pero hay cosas peores: a causa de un 
bug de ciertas versiones de Office, po- 
drías encontrarte enviando documentos 
que contienen porciones de archivos bo- 
rrados. Cuando Word crea un nuevo 
documento, reserva cierto espacio en el 
disco, en el que se memorizan junto a la 
información necesaria para la apertura 
del documento (fuente, estilo, lengua, 
etc.) todas las versiones precedentes y la 
información necesaria para recuperar 
un documento en caso de bloqueo del 
ordenador. Como decíamos el espacio 
es "reservado" por el documento de 
Word en el acto de su creación: volvien- 
do a nuestro ejemplo, Word se "toma 
para él" un par de estanterías de la li- 
brería, pero sin vaciarlas de los libros 
precedentemente borrados. Cuando se 
salva el documento, los datos conteni- 
dos en aquella porción de disco duro 
son englobados: abriendo el documento 
con Word, no se notará nada dis- 
tinto (porque estos datos 
no forman parte del docu- 
mento), pero si se abre el 
archivo .doc con un editor 
de puro texto o con un 
editor hexadecimal, se po- 
drán leer fragmentos de 
otros documentos. Si no te 
lo crees, haz una prueba, qui- 
zó utilizando un disco del que 
han sido borrados muchos ar- 
chivos de texto: es escalofrian- 
te... 
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¿so iniciando 
desde DOS (cosa 
aconsejable). 


PROGRAMAS PARA RE- 
SUCITAR UN ARCHIVO... 


NORTON ÚUTILITIES 
En el popular 
paquete de utili- 
dades, el pro- 
grama UnErase fren PC 
permite recupe- ó 
rar archivos 
borrados, inclu- 


Problemidsung und 


Lolstungsoptimierung 


| Disk INVESTIGATOR 

Un programa que lee los datos 
“sucios directamente del disco 
duro, bypasando la información 


proporcionada por el sistema. Es 
gratuito y se descarga en 


...Y PARA ELIMINARLO 
DE VERDAD 


PGP Disk 

La funcionalidad Document Wipe 
de PGP permite sobrescribir archi- 
vos con datos casuales en varias 
pasadas, a elección del usuario. 


AcTIVEOD KiLL 
Disk -  HarD 
DrivE ERASER 

Un software 
gratuito pero 
que en su ver- 
sión de pago 


¡está conforme a las directivas 
¡para la "limpieza y desinfección 
de datos" del Departamento de 
Defensa americano. Se descarga 


de 


VARIOS FREEWARE 
En la dirección 


hay una lista de varios progra- 
mas gratuitos 
para el borrado 
seguro de archi- 
vos. 


rrado seguro" pueden hacer am- 
bas funciones. 

Antes decíamos que los progra- 

mas de borrado seguro no se li- 


>> Cómo hacer borrón 
y cuenta nueva 


Para estar seguro de haber borrado de 
verdad un documento, hace falta usar 
un programa que escriba una secuen- 
cia de datos binarios casuales distinta 
en la misma porción de disco en la que 
se encuentra el archivo que eliminar. 
Existen varios programas de este tipo, y 
la función de "borrado seguro" se inclu- 
ye en varias suites de utilidades (como 
las famosas Norton de Symantec) o en 
programas de privacidad y criptografía 
(tipo PGP). Algunos programas se limi- 
tan a borrar en modo seguro un docu- 
mento aún perfectamente visible: se se- 


bits del área ocupada por el archi- 
vo, sino que escriben en el disco 
"una secuencia de datos binarios 
casuales distinta". Esta diferencia : 
puede ser considerada una sutilidad 
irrelevante para la mayor parte de 
los usuarios (que quieren proteger la 
propia privacidad de colegas o fami- 
liares curiosos), pero para algunos 
asume una importancia... vital. 
Incluso si están sobrescritos y no recu- 
perables de los cabezales del disco du- 
ro, los datos borrados dejan en la su- 


PARA SABER MÁS... 


Una auténtica Biblia sobre los aspectos más científicos de la lectura de 
información de los soportes magnéticos. 


Patente de la NSA para la recuperación de campos magnéticos en 
soportes sobrescritos. 


Guía para la comprensión de datos residuales en los sistemas informá- 
ticos de Computer Security Center. 


lecciona el archivo deseado y será bo- 
rrado en modo seguro e irrevocable (ojo 


perficie del disco una "huella" magné- 
tica muy débil pero identificable con 
los instrumentos adecuados, como un 
aparato para Microscopia de Fuerza 
Magnética (MFM), Con el instrumento 
adecuado (algunos modelos de micros- 
copios MEM ya están equipado para 
analizar superficies de disco duro...), 


22 La paranoia nunca 
es exagerada 


antes de borrar documentos que podrí- 
| an ser aún necesarios...). Otros pro- 
gramas, en cambio, trabajan so- 
bre los archivos que ya han sido 
borrados, haciendo una función 
de "relimpieza" de todas las áreas 
del disco que han sido marcadas 
como "área libre" para la escritura 
de nuevos archivos, pero que -como 
hemos visto- podrían contener datos. 
Las dos funciones son útiles y la ma- 
yor parte de los programas de "bo- 
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mitan a poner a cero (o uno) los . -»""* 


una € 


mr pan ellos, ¿por qué no debemos 


ragedia 


elo 


soria y dl ' 
0 


persona 
preparada podría "ver" los 
bits borrados con la misma facilidad 
con que un texto a lápiz borrado con 
una goma puede ser leído poniendo 
la hoja de papel a contraluz. 
Escribiendo una secuencia Únicamente de 
"ceros" o "unos" en el disco, la informa- 
ción puede ser recuperada en base a la 
diferencia de fuerza magnética que existe 
entre los bits que antes del borrado con- 
tenían un cero y los que antes contenían 
un uno. Volviendo a nuestro papel con el 
| texto borrado, es un poco como aplicar 
encima una hoja de papel de copiar: a 
contraluz el texto se ve igualmente. Justo 
por esto los programas "serios" sobrescri- 
ben los datos con una secuencia ca- 
sual de datos y no se limitan a una 
simple reescritura, sino que ejecu- 
tan varias pasadas. (en algunos casos 
el número es a discreción del usuario). En 
general, tres pasadas son considera- 
das un razonable compromiso entre 
seguridad y práctica: el tiempo de bo- 
rrado aumenta de manera proporcional 
al número de pasadas. 
Algunos objetan que la recuperación de 
información de porciones de disco so- 
brescritas con otros datos son cosas 
que se ven solamente en películas 
de espionaje. Será así, pero el NSA 
parece tomar en serio la cuestión, y el 
Departamento de Defensa americano 
ha realizado una directiva para a elimi- 
nación segura de datos. Si se preocu- 


hacerlo también nosotros? 


o 


El si 


o e 
- 


link 


llador de hackinc 


aumentar las capacidades del ceonlanador y 
poder hacer así trabajillos cada vez más sofis- 
ticados... Entre los componentes de hardware] 
que tendréis que instalar están el módem, la 
CPU, la memoria RAM, los sistemas de moni- 
torización y otros. Y no se termina aquí, po- 
dréis, o mejor dicho, deberéis, si queréis subir 
de nivel, comprar software, desde pro- 
gramas levantadores de password has- 
ta sofisticados programas de cifrado. 
Aun siendo un juego totalmente offline, el 
nuevo patch que han lanzado los desarrolla- 
dores añade, entre los programas que se pue- 
den comprar, un cliente irc para poder chate- 
ar en el interior del juego. Y quizás poder de- 
safiar en tiempo real a otro hacker de ver- 
dad... ¡Como veis, "el juego resulta duro"! 


2> Empezar a jugar 


Antes de acceder al juego os tendréis que regis- 
trar como agente, insertando vuestro nick y un 
password. Después de ello, tendréis que elegir 
espués de esta obligada intro- jado de lado el aspecto gráfico para  |la configuración de vuestra pasarela y el juego 

ducción, pasamos a la descrip- centrarse en una buena programación| [estará a punto. Os encontraréis delante de un 

ción de este revolucionario si- (ya estamos hartos de productos gráficamen-| [escritorio y recibiréis inmediatamente un correo: 

mulador de Introversión. Se ten- te superlativos, pero llenos de bugs). electrónico que os presentará el que será vues- 

dría que premiar a los creadores de este tí- ¿Pero, de qué se trata? Uplink se encuentra en] — |tro próximo trabajo. Pero antes de ponerse a 
tulo por su originalidad y por haber tenido la categoría de los "simuladores" y para jugar] |'trabajar' Uplink os quiere poner a prueba. En 
las agallas de ir contra tendencias (que es la os tendréis que poner en la piel de un| - fotro mail os invitará a entrar desde remo- 
filosofía que hay detrás del juego en cues- joven hacker principiante, miembro de la]. [to en un sistema protegido por password 
tión). Y es que los desarrolladores, un grupo asociación Uplink. El juego se ambienta en un|  |y robar un determinado archivo. Una ve 
de-jóvenes estudiantes de inge- hipotético 2010 y la interfaz grafica re=-| [hecho esto, salvad el archivo en vuestra memo-| 
A niería de Londres, crea una pasarela, caracterizada con| [ria y mandad un correo a la empresa que se hal 
ad han de- máquinas sofisticadas y componentes| [puesto en contacto con vosotros, adjuntando ell 

. de hardware estremecedores. Las músi-| [archivo en cuestión... Y ya está, a partir de este 

cas recrean perfectamente la atmósfe-| [momento tendréis acceso a una serie de misio- 

ra y en ciertos instantes se hace per-|  |nes, obviamente según vuestro grado de pre- 

secutoria, haciendo aumentar la a-|  |paración las misiones que se os propondrán] 

drenalina ¡al máximo! serán cada vez más difíciles, y obviamente me- 

jor recompensadas ;). lá 


>> De newbie a guru Uplink existe para lindows y 
o , Linux y cuesta 33,99 Euros.| 
dd qe Lógicamente empezaréis con un ordena- Desde el sitio del productor 
EE 1. 3 ¿dor y un módem, pero superando las dife- ¿ j y 
: ¿rentes misiones que se os propondrán, se os www introversion.co.uk, puedes 
_. compensará con dinero, que os servirá para] [descargar una versión demo. 
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_CUANDO EL HACKING SE CONVIERTE EN VIDEOJUEGO 


LINUX , mM 


CORTAFOE 


EGOS EN LINUX CON IPTABLES 


ALEJANDO A LOS INTRUSOS 


En la mayor parte de las instalaciones Linux está ya presente la función de 


cortafuegos. Descubre con nosotros cómo se puede configurar el sistema para 


desagradables. 


inux contiene el soporte 
para enrutamibnto y fil- 
tr 


q “guna stribución superior ca 2.4 


es la versión más estable), Ip 


- [enmascaramiento y los filtros de 
paquete (de la 2.3, NetFilter). 

Los paquetes que atravesarán el 
a es serán ¡sonfrontados 


(llamadas. también ACL, de Access 
Control List), el paquete se elabo- 
rará en consecuencia. 


enviar o modificar en- 
cabezamientos IP me- 
diante IpTables, para 
que alcancen la red de 
Internet. : 
LS ES 
manda los paquetes al 
kernel para elaborar- 
los. El enmascara- 


miento usa el servicio 


AT que permite usar | 
una dirección de IP pa- 


| [ra más de un sistema. 


Este servicio, basado 
en Upchains, no es 
compatible con los 
clientes VPN que usan 
PPTP. 

Crear una tabla con 
todas las reglas puede 
ser un rompecabezas, 
sobretodo si se usan 


redes muy extensas. 


Para esto, con IpTa- 

bles, a veces basta con 

asignar reglas red oflldas y mo- 
dificarlas al gusto. 


— | Para crear un filtro a los paquetes 
| de salida (procedentes del inte- 
- | rior), es aconsejable negar todos 
_| los accesos y seguidamente acep-' 
_tar los que sirven a un determina- 
| do servicio. Por ejemplo, si A (or- 
' denador interno) debe acceder a 


un servicio htp en un servidor 


Web de la otra parte del ordena- 
dor B (cortafuegos) el ordenador B 
deberá dejar abiertos los puertos 


80 y 443 (para el http). 


| Para crear las reglas para los pa- 
| quetes de entrada es aconsejable 


Ii bloquear todo el tráfico ICMP con 


| el fin de evitar los ataques DoS, 
| pero esto podría complicar la re- 
opel de los pre en una 
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red muy amiga. 
Haría falta también bloquear todo | 
el tráfico de entrada a menos que | 


no forme parte hot sn. conexión ya a | 


abierta. DN 
En Ip Chains se Usa la bbción -y y-| 
SYN de modo que el cortafuegos 4 
rechace los paquetes con el flan | 


-SYN configurado, y en cambio los | 


paquetes con el bit FIN o ACK son 
aceptados porque forman parte | 
de una sesión ya abierta. O 
Otra cosa muy importante es habi- | 
litar el registro de los paquetes. | 
Con Ip Chains se usa el parámetro | 


=L, com IpTables -¡ LOG (destino). 


Para poder sacar partido del cor- 
tafuegos con plenas prestaciones | 
es necesario configurar las pin 


nes eds 


fuegos, TcP/p 
counting. i 
Esta última opción (1 
es necesaria para r 
tos sobre los paque 
obtener información 


¿Cómo se instala? 


Los paquetes IPchains e IpTables 
a menudo los montan las distri- 
buciones más difundidas en el 
momento de la instalación de 
Linux. Si no fuera a sí probable- 
mente deberás recompilar el 
kernel para incluir estas opcio- 
nes. 


nel soporta ya la : 
filtro de paque 


cadenas. IpTak 
definidas que in 
interfaces del si 
los paquetes c 
Las ce so 


NA Pros y Filter. IpTa 
la tetas dial bb ld 1 


mascara ill (pero al no está 
cificada sold usa Filter 


INPUT: contiene las reglas para ; 


los paquetes de entrada; 


FORWARD: contiene las reglas que 
dirán si el meta necesita una | 


los paquetes de sa 
En las tablas NAT 


comandos son simples y sobretodo 
pocos, pero la cosa más difícil es 


A o, así: 


iptables -N custom 
| iptables : -A custom -s 0/0 -d 0/0 - 
| p icmp -¡ DROP 


. En el ejemplo la opción A atañe 


| | de entrada. 
| | (DROP = Respingere ACCEPT.= 
: Accettare). 

E ro. en el enrutador o cortafue- 


a dos “tipos de cadenas een 


NG: nadlica Ys eel 
añ. st el host (de 


la cita práctica. Bard 


>» Meblobs de las tade- 
nas y programación 
de las reglas 


establecer qué reglas aplicar, na- 
turalmente se debe primero deli- 
near un perfil de la red, y esta es 
quizá la parte más complicada. Los 


C uete, con el No) 
les errores al 
bl es a 


gos eden Was diversas tarje- 


tas de red: por ejemplo, una para 


la red interna y otra para la red 


externa. Si no se especifica una 
interfaz de red se usará la prime- 
ra (por ejemplo etho0). 

En Un sistema con dos tarjetas es- 


ta opción es necesaria porque en'!;.. 


una red se puede querer blo- 
quear todo el tráfico TCP de entra- 
da de la red pero aceptarlo de sa- 
lida. Para tal cosa se usa la opción 
-¡ para especificar la interfaz: 


iptables -A INPUT - ¡ ethO -s 0/0 - 
d 0/0 -protocl icmp- type echo- 
reply -¡ REJECT 

iptables -A INPUT - ¡ eh! 
d 0/0 .protocl iemp-type ech 
reply “PREJECT 


Este comando permite todo el trá- 
fico ICMP en una red, pero no los 
envía con un paquete echoreply 
(adiós ping). 

Otra cosa importante: las políticas 
están configuradas por defecto en 
Accept, pero sería preferible antes 


Tabla Cadenas Predefinidas Descripción 


INPUT FORWARD 


e corolla crear una cadena per- 
nalizada y modificarla a tu gus- 


iptables -A input -s 0/0 -d 0/0 -| 
custom 


una regla colocándola al inicio de 
cadena; la opción -| atañe la 
egla al final de la cadena y se- 
uvidamente añade una regla que 
rechaza todos los paquetes ICMP 


0 , | AN 123 


Filtra los paquetes 


PREROUTING OUTPUT POSTROUTING Permite la máscara 
PREROUTING OUTPUT POSTROUTIN 


Altera los paquetes 


configurarlo todo" en Drop y luego 
configurar sólo lo que se necesita 
en Accept. De esta manera se evi- 
tará dejar algún puerto abierto. . 


iptables -P input DROP 


Para visualizar las reglas configu- 
radas hasta ahora, puedes teclear 
lo que sigue: AN 


iptables E 


Como Apr bles Mene tres tablas. 
puedes escoger. alisar sólo 
una con: a 


ables -t nat -L 
Si luego quieres visualizar sólo 
una cadena de una tabla, usa: 


PLEMENTACIÓN DE UN CORTAFUEGOS EN LINUX CON IPTABLES 


¡iptables -t nat -L FORWARD 


[Si quieres además salvar el re- 
¡sultado en un archivo (reco- 
mendable para resolver pro- 
blemas)! usa este comando; 


in zipla bie save 
Ip es-ta l 


(Atención: las versiones ante- 
riores a la 1.2.1a no soportan 
esta opción) 


Además, en el caso dle que tu 
script personalizado a cada ini- 
| cio del ordenador se active pa- 
ura configurar las reglas de cor- 
¡tafuegos puedes añadir la si- 
| guiente línea 


iptables <F 


que borra todas las reglas con- 


a figuradas en Filter, pero no las 
de NAT o Mangle, que deben 
borrarse así: 


iptables -+ nat -F Zo 


»> Emmascaramiento en 
iptables 


Para borrar sólo una cadena de 
Filter se usa el comando ipta- 
bles -F pero con el nombre de 
la cadena (por ejemplo INPUT). 
Los servicios usados por Inter- 
net, como FTP, requieren un so- 
| porte añadido. IpTables pro- 
porciona varios módulos para 
el enmascaramiento, que per- 
miten acceder a estos recursos: 
El comando para acid los 


MODULO DES) 
ip_masq_ftp 
ip_masq_raudio 
ip_masq_irc 


ip_masq_vdolive 
¡p_masq_cuseeme 


Para IRC 


GRIPCIÓN 


Módulo para el enmascara- ción 
miento de las conexiones FTP 
Para el real audio 


Para las conexiones VDO Live 
Para CU-See_ Me 


Mini cortafuegos 


Si tu objetivo es proteger un orde- 
nador directamente conectado a 
Internet mediante un módem ca- 
sero (es decir, si no es la red de 
una empresa) puedes construirte 
un sencillísimo cortafuegos perso- 
nal creando un banal script. 

Por ejemplo, para bloquear el 
ping de tu ordenador y registrar 
los intentos de ping en un log bas- 
tará crear el siguiente script: 


+Hlbin/sh 

echo “1” >> 
/proc/sys/net/ipv4/icmp_echo_ig- 
nore_adll 

exit 0 


(para información posterior relati- 
va a los scripts leed el tutorial en 
la dirección 
http://accessdenied85.cjb.net). 


módulos es el siguiente: 
/sbin/insmod *nombremódulo* 


Para enmascarar la lp se usa el 
siguiente comando: 


ES a nal A POSTROUTING 
-dl 1 192.168.1.0/22 -| MASCHE- 
RADE 

iptables -t nat -A POSTROUTING 
«cl 1 10.100,100.0/24 -¡ MASCHE- 


-RADE 


Esta regla se añade a la cadena 


postrouting (-A) de la tabla NAT 
(-1). Con el signo de exclamación e 


se dice a IpTables que emmasca- 
re todos los paquetes no dirigi- 


dos a 192.168.1.0 


puerto 22 y 
10.100.100.0 puerto 
24. Como configura- 
predefinida, 


Para modificar esta 
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IpTables usa la pri- 
mera tarjeta de red. 


elección, se usa la 
da -0. . Pero esta. 


opción deja la red descubierta, 
porque si un cracker quiere en- 
trar en el host de la red i erna 
le bastará teclear la Ip del : 
fuegos para obtener una cone- | 
xión directa (las cosas son en 
alidad más complicadas). | 
evitar esto, aplicamos la reglas 
de enmascaramiento sólo a la. 
red internas 


iptables -A FORWARD -s 
192.168.1.0/24 -¡ ACCEPT 
iptables -A FORWARD 
192.168.1.0/24 -| ACCEPT 
iptables A  FORWAR 
10.100.100.0/24 -¡ ACC 

iptables "-A. FORW 
10.100.100.0/24 =| ACCEPT 


¡iptables -A FORWARD al 


Como decíamos al principio, « con 
estos instrumentos es incluso po- 
sible registrar los paquetes re- | 
chazados, de manera que se ten- 
ga un log para examinar, a 
búsqueda de huellas an at 


y £ xi e 


DEFENDERSE... 
uo HATACANDO! 


An se dd seguridad po un 
se puede acceder a élso 


nessus qué a 
una puerta trasera O posibles Dos. 


A 
PES 


essus (www.nessus.org) es un escáner de seguridad 
completamente gratuito y constantemente puesto al 
día. Su función es la de analizar sistemas o redes 
enteras para d rir qué vías tienen los. posi? 
bles crackers pi ara colarse y causar daños. El siste- 
ma de plug -in en el que se basa permite. añadir fácilmente la 
ibilidad de reconocer los últimos gusanos descubiertos. dt 
Nessus es un sistema remoto, compuesto por una parte ser- 
vidor y una cliente. La primera es un demonio disponible só- 
lo para los diferentes entornos Unix-like, como GNU/Linux, 
Bsd y Solaris. Es el corazón del escáner, en la medida que se 
ocupa de realizar los análisis. wde simular los ataques. El clien- 
te, en cambio, es sólo una interfaz gráfica para la configura- 
| ción y gestión de Nessus, y está disponible tanto para entornos. 
Unix como Windows. talación, o una serie de rchivos pa n 
Vamos a ver cómo se instala, configura y utiliza la versión Li- servidor, para los plug-ins, para el cliente y para las bi- 
nux de Nessus para llevar:a ORO un control del propio siste- bliotecas necesarias, todos para compilc 
ma. La primera operación que se tiene que realizar es eviden- seguiremos la primera vía, sin duda más rápida 
temente la de obtener. los paquetes que contienen el progra- ra quien se aproxima a Nessus por primera vez. 
ma, Del sitio oficial se puede descargar un paquete| | Una vez puesto el installer en el Alieciónio home, dista cad 
completo que contiene el bir (como usuario) el comando: 


.|$ sh nessus- -installer. sh le po 


El script se ocupará de configurar sist e pro- 
a e do de la pa manera. pas ea de 
se pide una con 


Sido: la tiene que realizar necesa- 
root, puesto que tiene los máximos privi- 


3 
Mes 


pS 


nr 


dejando activos halo los que pueden « ocasionar algún me 
ño. De todos modos, es posible en cualquier momento 
activar también los módulos peligrosos, para llevar a ca- 
bo un escaneado más detallado. $ 


legios. Lo Pro que hay 
que hacer es crear un certifica- | 
do de conexiones Ss). Con este 
fin se adjunta un script comple- 
tamente automatizado: nessus= | 
mkcert. Después, a través de la 
orden nessus-adduser es preci- 
so insertar por lo menos un u= | 
suario que pueda conectarse al 
servidor para llevar a cabo los] 
ataques. dl 
Mediante el comando nessus-up- | 
dateplugin es posible además | 
mantener al día la lista de plug- 
in disponibles, para así buscar | 
siempre todos los agujeros de se- | 
guridad disponibles en la bibliote- ' 
ca de escaneados de Nessus. | 
A partir de este momento, el servi- | 
dor está correctamente configura- 
do. Ya sólo falta lanzar el demonio 
escrito en este caso como usuario 
root: 


Las opciones que se pueden configurar son muchísimas, 
pero para empezar: podemos quedarnos con las que |. 
vienen por defecto. La Única opción importante de | 
verdad la € ión del adversario, en la pantalla 
| Target se tion. Si lo que queréis es probar puio] 
| propio ordenador, sólo tenéis que poner localhost, si. 
no también se pueden escribir una serie de dones, | 
po o nombres de dominio separados por una coma. 
aquí todo está a punto, basta hacer cli 
scan para emprezar el test de seguridad | 


| bs tienen que camper r 
A 


* nessusd -D 


us subaiaidi por. or sectores y dee El ora ) 
inet > cuatro pros, de. indicaciones: Proa ed 
Plug-in: Los plug-in son módulos de Nessus que se ocupan 
de llevar a cabo los verdaderos ataques. Están escritos en 
o NASL, acrónimo de Nessus Attack Scripting Language, un 
4 lenguaje de programación espe 
escribir tests de seguridad par 


> en marcha el server, es posible y Security Notes. 
host externo, si las reglas del.| Mos agujeros de seguridad son los fallos a los q 
dl hay que poner remedio, sobre todo los que sean 
“aparece es la que se ocupa. de pedir | como Serious. A menudo son soi cuentas, C 
] Es latos para 1 conexión y el login al servi | fault o protocolos bien conocidos coma Íns | 
| dor. . e puertas abiertas hasta para los cracker: más i inexp 
pe ac descripción del problema, Nessus rra ta 
Una vez conectados, es preciso | do eme Sibles soluciones o direcciones 1 | 
configurar el tipo de escaneado | posible descargarse los oportu 
que se quiere efectuar. De entra- En orden de importancia, siguen 
da, es necesario seleccionar los E son posibles problemas de aaa aunque 
plug-in que contienen las definiz.| F-go. Queda pues a 
ciones de los ataques que se | | ministrador de sistema decidir si Bou o no 
quieren realizar. | nes, teniendo en cuenta que a menudo se in 
Es | | servicios que se quiere que se vean desde fuera. E 
La lista es muy Mosh comple- | [En resumen siguen algunas notas de seguridad, relativas so- 
ta, y se enriquece de versión en | bre todo a la información sobre el sistema que un posible a- 
versión. Algunos de los plug- | | tacante puede conseguir. Son las versiones de los servidores, 
in pueden potencialmente | puertas abiertas, nombre de los hosts y otros detalles así. No á 
colgar el sistema que se está comprometen directa: nte el. sistema, pero ofrecen a los ata- : 
probando, así Nessus prefie- 
re no habilitarlos por defecto, | 


| cantes expertos Ud umentos para estudiar un ataque eficaz. 
salvar en varios formatos para permitir u- | 


e 3 E | 


he 


| DAR 


in 


plug in de Nessus 


E 
yl PA 


¿A ] | 
as formas en las que se pue-| 
| E crear un informe detallado| — 
de gráficos que ayudan a pes 
los moss más Polnarcl lar : | 


1 versátil, pero ! 1ay que. cogerle 
izarlo lo mejor posible. Por. 
los los fallos de seguridad 
Úoiiendo las posibles correcci 
r los fallos y las a: 


los LE ol que tienen que in 
Ls de cada bano 


Oo PNY_aGdan Joss 


Hunber of holes 


wow (80/tcp) 
general/tcp 
ftp (21/tcp) 


domain (53/tcp) 


unknown (6000/tcp) 


sn 


netbios-ssn (139/tcp) 


: PRACTICAR. all: 


INSTRUCCIONES Y TRUCOS PARA ASPIRANTES A OPERADOR 


| espués del primer barniz 


que dimos en el pasado | 


sobre lo«quees IRC, su es- 

tructura y los primeros pasos a 

dar para entrar en este mundo, ahora 
entraremos más a fondo en el tema, es- 


tudiando cómo se puede abrir y gestio- | 


nar un canal. 

Partamos del supuesto de que en IRC 
existe casi todo, y que, por lo tanto, se 
| pueden encontrar canales sobre cual- 
| quier tema del interés humano. Pero si 


| queréis tener vuestro canal personal (o 
queréis simplemente haceros pasar las 

| ganas), a continuación veremos cuáles 
son los procesos necesarios, los privile- 
gios y los posibles problemas que po- 
dréis encontrar. 


Un usuario cualquiera puede abrir un 
número ilimitado de canales simple- 
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mente ejecutando.el comando en línea | 


| /join tmiprimercanal 


Suponiendo que este canal no haya si= | 


| do creado anteriormente tendréis una 


pantalla con vuestro único nombre arri- | 


ba a la derecha.precedido por una (D. | 


Este símbolo os atribuye el estatus de 
operador del canal con todos los privi- 
legios y deberes que ello comporta, 


| La parte más delicada en cuanto a la 


gestión de un: canal es la de decidir | 


| quién y qué admitir, el tipo de argu- 


mento a tratar (libre o limitado a un te- | 
ma específico), los usuarios autorizados 

para acceder y todo aquello que tenga 

que ver con la gestión.. | 
Los modos de canal son, por así decir- | 
lo, reglas que vosotros podéis determi- | 
nar y que necesariamente se tienen que | 
seguir. En general la sintaxis la da el | 
comando 


/mode tcanal +/-carta pará- 


metro : 


donde + indica la implementación y - | 


| la supresión del modo especificado. 


Ahora veremos con detalle los tipos de | 
canal, subdividiéndolos en aplicables | 
al canal y aplicables a los USUAFOS: 


Modo ¡ (invite only): define la modali- | 
dad de invitación al canal Sólo los 
usuarios que hayan sida invitados pue- 
den acceder a él, al resta'sele negará el 


| permiso con un output del po Can't ac= 
| cess de chanel, invite only Se Aplica es- 
| ta característica con el comando /mo de 


tcanal +i. Los usuarios pueden ser 
invitados del chan sólo por Un usuario 
desde el interior del chan mismo con el 


l comando /invite nick tcanal 


Modo | (limit): define el número máxi- 
mo de usuarios que puede haber en el 
interior del canal. Así, quien intenta 
entrar una vez se ha alcanzado el nú- 

mero máximo determinado recibe un 
output del tipo "chan is full". Su sinta- 
xises/mode ttchan +1 xx, donde 

xx es el número límite establecido. 


Modo n (no external messages): 
impide que los usuarios que no es- 
tén presentes en el interior del ca- 
nal puedan enviar mensajes. 


Modo k (key): define el password de 
acceso al mismo canal. Se determina 
con el comando /mode canal +k 
xxxxxx donde xxxxxx donde xxxxxx es 
evidentemente la contraseña deseada. 
Un usuario que intente entrar en un ca- 
nal +k recibirá un output del tipo "need 
correct key". Para entrar en un chan +k 
setiene que utilizar el comando /join 
*chan xxxxx 


Modo s (secret): configuración de canal 
que permite no dar información sobre 
dicho canal, no aparecer con el coman- 
do /1ist ytampoco en el /whois de 
un usuario a no ser que ambos estén en 
el interior del canal. 


Modo t (topic): si se selecciona, este 
modo no permite a los usuarios -o 
cambiar el tema del canal. 


Modo m (moderated): canal en modo 
m se define como "moderado" y sólo los 
+o.o los usuarios con modalidad +v 
pueden interactuar en publico, mien- 
tras al resto les es prohibido. Quedan, 
por supuesto, activas para todos las 
query personales. 


Modo.p (privato): modalidad obsoleta, 
que yd Oise utiliza y que no permite la 
visión delPhombre del canal con un /list, 
pero que responde a la petición de 
otras informaciones, 


? sas 
qa sasds 


AT 


Modo o (operador): le da privilegios de 
operador al nick seleccionado. Los ope- 
radores tienen superpoderes, ya sea so- 
bre los usuarios normales, ya sea sobre 
los otros operadores del canal. Se deter- 
mina con /mode ttchan +0 nick. 


Modo v (voice): el usuario que disfruta 
de este privilegio está autorizado a ha- 
blar en los canales +m. A menudo es 
inútil, porque los canales normalmente 
están en =m, pero aun y así se les da es- 
te privilegio a algunos usuarios como 
señal de simpatía hacia ellos. 


Modo b (ban): permite determinar una 
prohibición de entrada a cualquier 
usuario que tenga una mascara igual al 
ban elegido. La identidad de cualquie- 
ra en IRC se da según el siguiente for- 
mato: —nick|usernameOhost.name, 
donde nick es el nick que se utiliza, 
username es el nombre del usuario y 
hostiname es la dirección IP desde la 
que se conecta. 

En.la determinación de los ban existen 
caracteres especiales que se pueden 
utilizar. Son: (*) y (|). El primero identi- 
fica a cualquier grupo de caracteres in- 
cluido ninguno, mientras que el segun- 
do indica cualquier carácter suelto pero 
no ninguno. Evidentemente estas prohi- 
biciones pueden ser más o menos espe- 
cíficas. Si, por ejemplo, nos las tenemos 
que ver con.un usuario indeseado que 
se conecta con una IP fija, poner un 
ban será muy fácil y no correremos el 
riesgo de incluir en la prohibición a 
otro usuario que no tenga culpa. Imagi- 
nemos que el usuario Ciao tenga una IP 
estática 111.222.121.212, introdu- 
ciendo el ban 
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/mode tchan +b hola!hola- 
maskad111.222.121.21le 


tendremos la certeza de que el usuario 
no podrá entrar de nuevo en el canal, 
aunque podría cambiar de mascara, de 
ahí la necesidad de alargar el ban, que 
podría tomar la forma de 


/mode chan +b 
x!1x0111.222.121.212 


En el caso de un usuario con dialup e IP 
dinámicos el tema es más complejo, te- 
niendo en cuenta que una vez desco- 
nectado y vuelto a conectar la IP cam- 
bia. Si se diese el caso que Hola tuviese 
como máscara 


hola!holamaskdppp- 
151.27.10.10.1ibre.es 


ve hen 
E 


tre data 
punt copa aca poste 1 


podríamos intentar 
poner un ban del tipo 


*x!lxholamaskdppp-*.libre.es 


con la esperanza que use siempre el 
mismo proveedor para conectarse. Te- | 
nemos que tener presente, de todos 
modos, que en este modo no ponemos 
un ban específico, por lo tanto, si hay 
otro usuario que utiliza libero.it y tienen - 
como parte de su máscara "ciaomásca- 
ra" este se encontraria vetado en nues- 
tro canal sin saber el porque. Se acon- 
seja pues determinar bans lo más espe- 
cíficos posible, evitando dejar fuera a 
más usuarios de la cuenta. Es evidente 


INSTRUCCIONES Y TRUCOS PARA ASPIRANTES A OPERADOR 


su fuerza en su "replicación" con más 


an con un ataque del tipo mircforce de 
flood. Los collide son técnicas más 
complejas, pero al mismo tiempo más 
eficaces y se basan en el hecho que en 
IRC no pueden haber dos usuarios con 
el mismo nickname. En caso de darse 
esta situación, se desconectan ambos 
clientes del servidor. La manera de lle- 
var a cabo estas estrategias y su actua- 
ción práctica la trataremos más a fondo 
en el último de esta serie de artículos. 


naval aisponividA 
4 comal dAsp 
DEOF, DEDICE, ME MIS EUA 

A » 


Miss ) 


comandos prin 
ai s de uso. 
y, silo solicitáis, las cadena 
, 


que “si 

ponemos *I*(D*.¡p nadie se podrá 
conectar a nuestro chan desde un servi- 
dor japonés, tanto si son "buenos" co- 
mo si son "malos! 


En IRCnet no se prevé el registro de 
nicknames o de canales, pero en otras 
redes.como Saura.net hay unyservicio, 
el chanserv, que tiene esta función. 
Podéis descubrir fácilmente si existe y 
cómo se usa ChanServ con sólo escribir 


/chanserv help 


O bien 
Si-tenéis un canal, más tarde o más 
temprano empezaréis a pensar que un 
día u otro alguien querrá quitároslo. 
Hay varias maneras de hacerlo, pero 
las formas más utilizadas son sin duda 
los flood, los clones, y los collide. 
Por flood se entiende el envío de una 
enorme cantidad de datos a un cliente 
o aun canal, una acción que a menudo 
lleva ala desconexión del cliente ataca- 
do y por lo tanto a la eliminación de las 
personas que están en el interior del 
canal. Los clones tienen el mismo 
principio de acción, 


/msg chanserv help 


Os aparecerá una lista de comandos y 
con cada uno de ellos podréis pedir un 
determinado tipo de ayuda. 


¿Qué ocurre cuando es tarde y es hora 
de irse a dormir? Bien... si sois los últi- 
mos en salir de un cierto chan, el canal 
"se irá a dormir" con vosotrós..En el mo- 
mento en el que un canal queda vacío 
a deja de existir y con él todas las confi- 
e guraciones /mode efectuadas con tanto 
pa sudor de la frente. Para evitar esta si- 
tuación se utilizan los bot. Se trata de 
ciertos clientes que se sitúan en el 
shell remote, perennemente conecta- 
dos a la red y totalmente gestionables 
en remoto. Tienen estatus de operador 


a 

art 
Arrate ¿Lon 

sn running ve 


clientes que tengan el mismo IP, y actú- | 


que alguien os deja tener un cliente 
en su propio servidor, con todo lo 
que ello puede comportar en ata- 
ques dDoS, gestión y gastos, sin ha- 
ceros pagar un céntimo?! 

Más allá del coste, la tocada de na- 
rices es la configuración. No se trata 
de nada especialmente complejo, 
pero siempre hay cosas que estudiar 
y practicar, porque al principio no 
hay nada de intuitivo. Considerando 
también el hecho que normalmente 
se encuentran en plataformas li- 
nux/freeBSD y son gestionados por 
shell, con las cuales el usuario me- 
dio.no se siente seguro, las cosas se 
complican un poco para quien llega 
de Windows y con poca experiencia. 
Los Bot, como veremos detallada- 
mente en el próximo número, seguro 
os ayudarán a gestionar vuestros ca- 
nales, os ofrecerán una posición 
aventajada respecto al resto de 
usuarios, aunque no dejaran de ser 
máquinas "estúpidas" que si no están 
instruidas pueden crear problemas. 
En el artículo que encontraréis próxi- 
mamente entraremos más en detalle 
en la programación de los Bot y ha- 
blaremos de las IRCwar, guerras a 
golpe de bit que tienen lugar en los 
canales IRC. Que os divirtáis en 
vuestros nuevos canales y, sobre to- 
do, no olvidéis comentar a los ami- 
gos cuáles son. 


del canal y están totalmente a vuestras |<"? lo 


, en todas | órdenes, hacen todo lo que les pe- A ir ie E Vier co a con. 
e est ese ve €'' dís... y no ensucian :D €s QUe irse la, Q Un ec, 
El ChanSe ste ejemPp registrado Pero, como en todas partes, tam- “On 7 io ive: ¿de co), 'h 7 
red un nic el pass- bién en los Bot no todo el monte es los 10 S de , “er CO 
2. nocimient? . ducien orégano. De entrada, tienen un cos- lar o, E eno, 
2. 1 io 1 te. Bueno... ¡¿no estaréis pensando e e on Cos 
or + "Sale - 
wora- > 
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LOS SOSPECHOSOS HABITUALES: EL CABALLO DE TROYA SUBSEVEN 


IDENTIFICATION 
ORDER NO. 10 


October 10th, 2002 


WANTED 


NAME: NetBus 
TYPE: Trojan 


DIVISION OF INVESTIGATION 
H.J, DEPARTMENT OF NET 


- BARCELONA -ES. 


ALIAS: NetBus.153, NetBus.160, NetBus.170 


DATE OF BIRTH: Marzo 1998 
AUTOR: Carl-Fredrik Neikter 


Acciones cumplidas: 
Según las versiones, 


Subseven 
puede efectuar cerca de un cente- 


nar de acciones distintas; entre 
ellas, las más peligrosas son: 

- registra sonidos desde el micró- 
fono del ordenador atacado; 

- captura imágenes desde una web- 
cam eventual; 

- lee los passwords del disco y de 


la memoria; 


- registra las teclas presionadas 
por el usuario, 


incluso cuan- 
do está offli- 
ne y los en- 
vía al ata- 
cante; 
- notifica al 
atacante la 
presencia on- 
line de la 
víctima; 
- Captura la 
imagen de la 
pantalla; 
- abre un ser- 
vidor Ftp que 
permite al 
atacante 
cargar oO borrar 
cualquier archivo de la víctima; 
- modifica el registro de Windows; 
- ejecuta aplicaciones; 
- inserta comandos manuales; 
- permite al atacante escribir en 
cualquier aplicación abierta. 


des- 


Medios de contagio: 

- Apertura de archivos ejecuta- 
bles infectados recibidos vía 
email, a través de un chat Dcc en 


A EE _E_EAEEA+<MII A A A O 


Irc O descargados de sitios no muy 
fiables (habitualmente, sitios "wa- 
Le2. ¡(eXacz" ¿0 porno): 

- instalación directa por parte de 
un atacante que tenga acceso físico 
a la máquina que quiera controlar 
en la oficina, 


(en casa, en una 


tienda...) . 


Técnicas usadas: 

El programa servidor se instala en 
el directorio Windows con el nombre 
del programa que ha vehiculado la 
infección o usando otros nombres. 
Luego modifica el registro de Win- 
dows asociando el programa del ser- 
vidor a todos los archivos con ex- 
.exe. 
asegura el estar siempre en ejecu- 


tensión De esta manera, se 
ción (cada vez que se lanza un pro- 
grama, Subseven se activa). Si el 
servidor se mueve, no se podrá ac- 
tivar ningún programa (algunas ver- 
siones no dan este problema). 
Cuando está en ejecución es comple- 
tamente invisible en la lista de 
tareas, y si encuentra una conexión 
con Internet abierta, permanece a 
la espera de comandos por parte del 
cliente remoto. 


Signos particulares: 

Subseven puede individuarse de 
esta forma: 

- Inserta nuevos valores en las 
claves de registro: 

HKEY LOCAL MACHINENSOFTWARENMicro- 
softIWindows1CurrentVersioniRun 
HKEY_LOCAL MACHINEASOFTWAREANMi- 
crosoftWWindows1CurrentVersioniAR 
unServices 


www.hacker-journal.com | 31 


Fingerprint Classification 
16 0 5 U 001 20 


7 ISubSeven] by mobiman [elopyleft 1999 
000 correo [AR] 


hup// ope 06m L open browser | 
[erazo ano | estao? | 
[esputo | sean] 
east] ctra vn] 
[rai eos oca able | 
[isnspatos [esa | toys] 
[io va PTE ec ns os 
[hide moves [chango server name] 


[tetas] close window | 
dable window ]| 
disable close button | show] hide Jl 


[tato] elsa aa | 
|] [cas year] 
[stos po sue] o 1] 


- Inserta una nueva línea en la 
[windows] del archivo 
Win.ini [windows] 

load= 

run=c:lwindowsXserver name .exe 
Inserta una nueva línea en la sec- 
ción [boot] de system.ini [boot] 


sección 


shell=Explorer.exe 
c:Xwindows1server name 

- Activa algún puerto TCP, normal- 
mente el 27374, pero el puerto pue- 
de ser cambiado por el atacante. 


Instrucciones para su parada: 

Incluso un buen antivirus perfecta- 
mente actualizado a veces no es ca- 
paz de contrastar un caballo de 


Troya. El atacante podría alterar 
la funcionalidad del antivirus, de- 
jando al usuario una falsa sensa- 
ción de seguridad. 

El modo más seguro para contrastar- 
lo es consultar el sitio www.hack- 
fix.org/subseven para determinar el 
número de versión del servidor e 
individuar el programa más adecuado 
para borrarlo. rá 


Más información:: 
www.europe.f-secure.com/v- 
descs /subseven.shtml 

www. symantec .com/avcenter/venc/ 
data/backdoor.subseven.html 


ye 


Las últimas firmas re PE en 
nuestro libro de bisitas | 
(TrrriV 


A esta web "caí" por accidente inmediatamismo me di cuenta donde estaba,no la pensé 2 veces y 

me registré.Felicidades y adelante este 2004 q' hay mucho por hacer (.....perdón,por hackear....). 

Me interesa saber de qué manera adquirir todos los números de la revista "HJ", ¿0 hay en versión 
ezine?. (ediez) * soy nuevo en el mundo de los hacker y me a gustao mucho esta revista y esta 
pagina asi que me gustaria que esta web siguiera creciendo. ¡NES LA MEJOR REVISTA QUE E 


saber como puedo conseguir la revista, o que me la envien caras Los Felicito por la revis- 
ta y muchos EXITOS ( porque suerte tiene cualquiera) happy hacking!!!! (Jorge) + Hola, queria sa- 
ber como puedo conseguir los numeros 1,2 y 3 de vuestra revista, ya que me he comprado el nu- 
mero 4 y me gusta mucho, espero que me los podais mandar, un saludo (Mary) + unSALUDpa- 
ralArevistaMAScañeraYqueríaCOMENTAROSsiPODElSenseñarCOMOrippeardiscosPARAhacerCO- 
PIASdeSEGURIDADgraciasYarribaHACKERJOURNALfirmado(iniciadoENhackeo).....SX(XP (SX) + He 
visto en el quiosco una revista llamada Hackers Magazine al precio de 4.99 que incluye CD y 
según he comprobado son el mismo perro con distinto collar. ¿A quién va dirigida una y otra? 
Que se pretende con poner dos revistas? Que compremos las dos? Pues vais listos. La verdad, no 
entiendo muy bien la razón de poner dos revistas. Si quereis que el lector pueda tener una revista ' 
con CD pues añadirlo a Hacker Journal y no hagais experimentos. Esos... con gaseosa. (tron) * 
HEY HERMANOS SU MAGAZINE ES EL MEJOR, AHORA HA LLEGADO A MEXICO PERO SOLO 
EL +1, NO DEJEN DE MANDARLA! ESO DE KE NO LLEVA PUBLICIDAD ES DE LO MEJOR!!! SPE- 
RO Y SIGAN MANDANDO NUEVO MATERIAL AL NUEVO CONTINENTE. DESDE SALTILLO A |) 1 
| (ADIKTO) + hola amigos les comento que en enero salio ala venta el numero 1 de su revista en' 
mexico y los quiero felicitar , y comentarles que esta muy interesante espero que continue llegan- 
donos en los kioskos dicen que asi sera bueno eso espero tambien me gustaria que iniciaran un 
curso para newbies que esten bien hasta luego (kross) + Hola hackers!! Ay una cuestion que me 
pongo en duda. Mi pregunta es como puedo passar de DIVX a DVD. En todos lo sitios sale como 
passar de DVD a DIVX!!! Pero como hacerlo al inverso!!! si alguiens es tan amable de contestar- 
me el e-amil!! bye jouranleros!!! (cheddar bob) + Esta muy bien esta revista currarosla mejor cada 
mes 8] (Alex) + Gracias por crear esta fabulosa revista (Zion) + Hola amigos ante todo me quito 
el sombrero ante vuestra revista es la caña. Hay q irse pensando una forma de q nos podamos 
subcribir o de ir incluyendo algún CD con programillas utiles y todo eso. Pero de momento la re- 
vista mola. Felicidades por vuestro trabajo. Saludos a los lectores de Hacker-Journal. (IronGolem) 
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Nos pemos en el 
proximo numero 


¡Resistid sin nosotros! 
www.hacker-journal.com 


A A O AO 


